ISO 27001:能减少 资安 损失吗?

Source: Freepik
Source: Freepik

前言

前篇提到了 AI 数位转型将使资安挑战日益严峻,企业需要一套完整的资安管理系统以应对不断变化的资安威胁。因此,ISO 27001 认证成为了企业追求资安卓越的重要指标。在本文中,我们将介绍 ISO 27001 认证,它如何帮助企业有效降低资安风险,最后也替你整理台湾上市柜企业取证现况,帮助你暸解企业资安防护品质。

 

重点概要

C. I. A. 与 PDCA
国际资安证书:ISO 27001
ISO 27001 真的有用吗?
台湾企业 ISO 27001 认证现况

 

C. I. A. 与 PDCA

资料是一家企业极其重要的资产,随著资料陆续上云,究竟如何保障这些资讯安全呢?在资讯安全准则中,解释了资讯安全三项要素 C. I. A:

  1. 机密性(Confidentiality)

    资讯不得被未经授权之个人、实体或程序所取得或揭露的性质。

  2. 完整性(Integrity)

    对资讯之精确与完整安全保证的性质。

  3. 可用性(Availablity)

    已授权实体在需要时可存取与使用资讯之性质。

满足资安核心三要素即是企业达成资讯安全的核心目标,但投资者如何得知企业是否确实达成呢?这时就需要公正的第三方标准来检验,目前国际上最流行的资安标准为 ISO 27001,开始介绍前,先让我们了解其架构:PDCA 循环法则

计划 ( Plan ):制定目标以管理资安风险,并制定相关政策和控制措施改进资安系统。
执行 ( Do ):
执行规划好的政策与控制措施。
查核 ( Check ):
检视实际执行与目标的差异。
行动 ( Act ):
针对查核到的差异做出改变行动,进一步改善。

企业能利用此循环不断的审查与优化资安管理系统,将资讯安全风险降至可接受的范围保护资讯的 C. I. A. 要素

中华电信 PDCA 管理流程。Source: https://www.cht.com.tw/zh-tw/home/cht/esg/customer-care/cybersecurity
中华电信 PDCA 管理流程。Source: https://www.cht.com.tw/zh-tw/home/cht/esg/customer-care/cybersecurity

接下来,让我们正式介绍国际通用的资安证书:ISO 27001。

国际资安证书:ISO 27001

ISO 27001是一种资讯安全管理系统标准,旨在协助企业识别、管理和减少其所面临的各种资讯风险。标准最初是由国际标准化组织(ISO)和国际电工委员会(IEC)于 2005 年共同发布的,并于 2013 年和 2022 年进行更新,内容主要涵盖了企业要实施国际认可的资讯安全体系所需的标准和规范。

通过且获得ISO 27001认证,企业即可证明其机房设备已通过严格的国际检验。重点是,认证后企业每年都需进行复评。因此,ISO 27001 是投资人、国际企业和政府等对于资讯安全保护等级的重要参考指标之一,拥有极高的公信力。

上述提及的标准及规范两部分即是主条款与附录 A,主条款(标准)强调应决定可接受的资安风险并以此建立完整的管理周期,附录 A(规范) 则是提供 93项控制措施,对组织、技术、实体与人员四面向进行详细的风险控制规范。

ISO 27001: 2022 四大面向与控制项数量
ISO 27001: 2022 四大面向与控制项数量

其中,ISO 27001 只是「一套概念」,主要说明了公司在导入这套标准时应该要管制的范围,并没有说明其应该如何实施,而 ISO 27002 则是「一套指南」,说明了附录 A 控制项具体应该如何实践,注意这些条文并不是强制性,公司可依自身需求决定是否采用。

资讯安全探讨-ISO 27001 真的有用吗?

但取得 ISO 27001 就代表能有效防范资安风险吗?在揭晓之前,我们先带你了解取得认证的 4 点好处:

  1. 提升管理效率:透过清楚的标准能够使组织内部规范资讯安全管理的相关负责人与各自权责,面临事件时更能即时找到对的人进行处理。
  2. 降低营运成本:ISO 27001 事前评估资安风险,以降低危机爆发后续营运损失,变相降低了营运成本。
  3. 增加客户信任:ISO27001能降低客户对资安风险的担忧,增进与企业客户商务往来的意愿与相互信任,协助业绩蓬勃发展。
  4. 进军国际市场:因ISO27001为国际性的资安标准,对于意图扩展国际市场的企业,能够做好事前部属,国外客户能直接了解企业资安能力,提升竞争力。

回到实际情况,过去三年发生的资安事件中,有 50% 的企业未取得 ISO 27001 认证,虽比例上无显著关系,但如果观察这些资安事件,未取证的企业在后续多承受较大的营运损失,包含前篇文章提及的雄狮与华航,因此,ISO 27001 确实能降低危机爆发的损害

资安议题 : TEJ 永续资料集、自行整理
Source: TEJ 永续资料集、自行整理

台湾企业 ISO 认证现况

TEJ 整理了台湾上市柜企业 2023 年的 ISO 27001 取证情形,如下图所示,金融业是最积极取得 ISO 27001 认证的产业,共取得 27 张,取证率达 79%;另外,台湾引以为傲的半导体与电子代工产业,总取证张数并不低,但以取证率来说仍为不足,半导体与电子零组件产业分别仅有 9% 和 7%。

台湾上市柜企业2023年ISO 27001取证现况
台湾上市柜企业2023年ISO 27001取证现况

过去十年随著金融科技发展,骇客攻击事件与资安问题日益严重,但在主管机关与各企业的努力下,金融业不仅以近 8 成的取证率领先其他产业,也制定了「金融资安行动方案」进一步地强化其资安治理。同样的挑战现在来到了制造业,根据 Dragos 2022 工控报告,制造业在去年共遭受 437 次勒索软体攻击,在工业物联网成形、工厂自动化的浪潮下,台湾制造业能否做好资安防护呢?

即便无法预测危机,我们仍可透过追踪 ISO 27001 取证情况来判断企业是否为资安危机做好准备!

延伸阅读

哪里可以获得更多资讯

台湾财经资料库 (TEJ TAIWAN DB ) → TESG 永续发展解决方案 → TESG 永续资料集 → 社会构面 → 社会类_ ISO认证透过 TESG 永续资料集,第一时间关注企业 ISO 取证情形,有效把关并监控企业是否确实做好资安防护。

透过 TESG 永续资料集追踪企业取证情形

 

如果各位读者对于本文、TEJ 资料库有任何问题,或是想进一步获取关于 TEJ 资料库的操作权限,欢迎留言、来电或来信询问。

 

 

返回总览页